Management des risques informatiques

Management des risques de l’entreprise

Selon COSO II * : "Le management des risques est un processus mis en œuvre par le Conseil d'Administration,
la direction générale, le management et l'ensemble des collaborateurs de l'organisation.

Il est pris en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est
conçu pour identifier les événements potentiels susceptibles d'affecter l'organisation et pour gérer les risques
dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des
objectifs de l'organisation."

* Traduction du COSO II Report par l'IFACI, PriceWaterhouseCoopers et Landwell & Associés

Si on reprend cette définition, on retrouve les points clefs :

 C'est un processus continu et transverse à l'organisation

 Les notions de seuil d'acceptabilité du risque : dans les limites de son appétence pour le risque
 Le management des risques est un support pour l'atteinte des objectifs de l'organisation :

Cette évolution du concept de management des risques, que l'on retrouve dans ISO 31000, s'applique également
au Management des Risques liés aux Système d'Information.

Management des risques liés aux systèmes d'information

Le risque informatique peut être désigné comme le risque « métier » associé à l'utilisation, la possession,
l'exploitation, l'implication, l'influence et l'adoption de l'informatique dans une organisation (Origine Risk IT :
ISACA)

Cartographie des Risques Informatiques

Le processus de cartographie des risques : positionnement des risques majeurs selon différents axes tels que
l'impact potentiel, la probabilité de survenance ou le niveau actuel de maîtrise des risques. Son objectif est de
permettre d'orienter le plan d'audit interne et d'aider le management à prendre en compte la dimension risque
dans son pilotage interne.

 Il existe en synthèse 4 types de cartographies identifiés autour des risques informatiques :

 cartographie des risques d'entreprise : pour suivre la maîtrise des principaux risques de l'entreprise
 cartographie des risques Sécurité de l'information : pour protéger les actifs du SI au regard des menaces qu'ils
encourent
 cartographie des risques pour construction du plan d'audit : pour identifier l'exposition au risque et définir le
plan d'audit
 cartographie des risques liés à la fonction des Systèmes d'Information : pour piloter les processus DSI  et la
réussite des projts informatiquesdes projets informatiques

Gestion des risques liés à la sécurité de l'information

 On imagine sans difficulté des exemples de risques liés aux SI, par exemple l'interruption temporaire des activités
d'une entreprise en raison d'une indisponibilité du S

 panne d'un composant actif du réseau

 incendie de la salle machine
 intrusion d'un pirate et destruction des bases de données
 plan de secours n'ayant pas suivi les évolutions récentes des systèmes

La gestion des risques liés à la sécurité de l'information doit permettre d’assurer la Disponibilité, l’Intégrité,
la Confidentialité des données de l’organisation v ainsi que la preuve et le contrôle.

Mais en creusant ces exmple, on peut définir la notion du risque lié à la sécurité de l'information suivant plusieurs
axes :

 définition du risque basées sur la notion de menace sur un actif associée à des vulnérabilités : vision assez
statique d'un risque (par exemple :
o panne d'un serveur lié à un défaut de maintenance (et qui va engendrer un arrêt des activités métiers qui été liés
au fonctionnement de ce serveur)
 définition du risque basées sur des scénarios d'incidents : ce sont des « situations de risque » décrivant à la fois
le dommage subi et les circonstances dans lesquelles se produit ce dommage. On privilégie ici sur une vision
dynamique des risques dans laquelle le temps peut être pris en compte, permettant de prévoir des actions
différenciées en fonction des phases de scénario de risque.
o Indisponibilité temporaire accidentelle de système hôte de services applicatifs, due à un manque d'alimentation
en énergie (défaut externe)